Разработчики всё ещё путают JWT, JWKS, OAuth2 и OpenID Connect — разбираем на примерах. Часть 2
Мы продолжаем наше погружение в мир аутентификации и будем разбирать всё на простых примерах с практикой на Go. В первой части статьи мы разобрали, как устроен JWT, зачем нам refresh и access токены и почему в распределенных системах нам необходимо использовать асимметричные алгоритмы подписи....
Как развернуть Identity Provider Keycloak на виртуальной машине и Managed PostgreSQL
Привет! Я занимаюсь сопровождением реализации внутренних и внешних технических задач. В статье расскажу, как организовать централизованную аутентификацию через Identity Provider Keycloak. Сотрудники не будут мучаться с кучей паролей от БД, систем аналитики, таск-менеджеров, почты и других программ....
АКАР разработала рекомендации по проведению медийных тендеров
«Видим запрос со всех сторон»....
Блоги и видеоконтент лидируют по охватам среди Telegram-каналов
Аналитика МТС AdTech и LiveDune....
Когда креатив умирает в брифе: что делать, если бизнес душит идеи
Как сохранить замысел живым на пути от концепта до релизного ролика....
Answer Engine Optimization (AEO) уже меняет российский цифровой ландшафт
Поиск никогда не будет прежним. Адаптируемся под ИИ (опять!)....
Red team: если хочешь защититься от преступника, думай, как он
Сфера кибербезопасности — это постоянная борьба и непрекращающаяся гонка защитников и атакующих. Хакеры становятся всё более изобретательными и проворачивают сложные схемы атак, способные нанести значительный ущерб компаниям любого масштаба. Чтобы успешно отражать подобные нападения, недостаточно...
Сублиминальное обучение и инерция весов: Почему нейросети помнят то, что должны были забыть
В предыдущей статье я рассматривал феномен сублиминального обучения, но вопросов было больше, чем ответов. Пришло время разобрать его подробнее. Эксперименты и код ниже. В задачах AI Alignment и безопасности LLM остается актуальным вопрос: является ли дообучение (Fine-tuning) или обучение с...
OSINT и цифровой след
Всем привет! Сегодня поговорим об Open Source Intelligence (далее по тексту — OSINT), разведке на основе открытых источников. Это систематизированный процесс поиска в интернете — не взлом и не покупка слитых баз — общедоступной информации и ее дальнейшая аналитика. К методам OSINT прибегают как в...
Как перестать писать WHERE tenant_id и отдать безопасность базе (PostgreSQL RLS в Go)?
В одном из прошлых проектов случился «кошмар техлида»: в суматохе хотфикса было забыто добавление фильтра WHERE tenant_id = ? в одну из ручек API. В итоге один клиент увидел отчеты другого. Все быстро откатили, но я навсегда запомнил то холодное чувство в животе. Когда начали проектировать...
Атака не по плану: хакерская самооборона как новый способ защиты
Если вы занимаетесь информационной безопасностью не на бумаге, а вживую, то совершенно точно знаете: ИБ-специалисты зачастую вынуждены играть в догонялки. Сначала произошел инцидент — потом вы его расследуете. Кто-то положил сервер с базой данных — мы пытаемся выяснить, как именно это произошло. И...
PNETLab — простая и бесплатная среда для экспериментов с сетями и инфраструктурой. Часть 1
Разбираем, что такое PNETLab, как он работает и чем отличается от других сетевых эмуляторов. Простое объяснение для инженеров, администраторов и студентов. Читать далее...
DevSecOps — от кода до контейнера
В выпуске CrossCheck обсуждали безопасную разработку, DevSecOps и то, почему внезапно все заговорили про контейнеры, секреты и «свои базовые образы». Читать далее...
WoodBoxRadio Tmate2: контроллер для радиолюбителя
Любительская КВ-радиосвязь — прекрасное, но дорогое хобби. Причем порог входа сейчас не слишком велик: можно дешево купить б/у трансивер, а антенну сделать буквально из кусков провода и старой удочки. Но уже после первой сотни стран и получения наград вроде DXCC начинаешь упираться в тот самый...
Как избежать иллюзии защищённости: советы по работе с провайдером кибербезопасности
Сегодня иллюзия защищённости может стоить очень дорого, тем не менее, все еще остаются компании, которые считают, что достаточно подключить централизованные средства защиты и это обеспечит им полную безопасность. К сожалению, это уже давно не так. Атаки становятся всё более изощрёнными, и для их...
Как блокируют OpenVPN и WireGuard
Привет, Хабр! На протяжении последнего года регуляторы значительно усилили блокировку VPN-протоколов. Если совсем давно основной метод сводился к блокировке IP-адресов известных VPN-провайдеров, то сейчас везде применяется глубокий анализ трафика (DPI), позволяющий идентифицировать и блокировать...
CISA KEV для SOC — мои результаты интеграции трендовых уязвимостей
В управлении уязвимостями под трендовыми уязвимостями чаще всего понимают не уязвимости с высоким CVSS, а сигнал о том, что уязвимость активно эксплуатируется в реальных атаках. При этом не важно когда уязвимость была опубликована, важна активность. Трендовые уязвимости желательно учитывать...
Тёмная сторона искусственного интеллекта: угрозы, реальные атаки и защита
Искусственный интеллект уже давно перестал быть исключительно инструментом добра. Он помогает врачам ставить диагнозы и разработчикам писать код. Но теми же самыми возможностями всё чаще пользуются злоумышленники. При этом барьер входа в кибератаки резко снизился: чтобы создать вредоносную...